AfterGlow Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Nå tar Windows 10 et stort steg mot en passordfri fremtid Lenke til kommentar
Simen1 Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Ikke nok med at NSA samler inn fingeravtrykksdatabase og ansiktsdatabase via Android altså. Nå skal også Microsoft samle det inn for NSA. 2 Lenke til kommentar
Håvard Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Ikke nok med at NSA samler inn fingeravtrykksdatabase og ansiktsdatabase via Android altså. Nå skal også Microsoft samle det inn for NSA. Jeg er sikkert naiv, men jeg velger å tro at Microsoft forteller sannheten. https://support.microsoft.com/en-us/help/4468253/windows-hello-and-privacy-microsoft-privacy Lenke til kommentar
Øystein H Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Ikke nok med at NSA samler inn fingeravtrykksdatabase og ansiktsdatabase via Android altså. Nå skal også Microsoft samle det inn for NSA. Biometrisk data, som fingeravtrykk, forlater aldri PC-en. Biometri lagres i TPM chip i PC og benyttes for å låse opp en privat nøkkel som benyttes i forbindelse med autentisering av brukeren (FIDO benytter en privat-public challenge-respons prosess akkurat som PKI). Foreslår at du leser deg opp på hvordan ting fungerer før du kommer med slike tåpelige påstander. 5 Lenke til kommentar
seventhwave Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 (endret) Ikke nok med at NSA samler inn fingeravtrykksdatabase og ansiktsdatabase via Android altså. Nå skal også Microsoft samle det inn for NSA. Jeg er sikkert naiv, men jeg velger å tro at Microsoft forteller sannheten. https://support.microsoft.com/en-us/help/4468253/windows-hello-and-privacy-microsoft-privacy Å være naiv er en del av den norske folkesjela, men her er vi over på den internasjonale arena. Akkurat som du trolig kan legge fra deg lommeboken din på disken på et serveringssted på ei sæter i Norge og ha visshet om at den fremdeles ligger der også etter et kortere toalettbesøk Men du bør endre mentalitet så snart du reiser til det store store utland, som f.eks. Barcelona m.m. > face or iris sensor or fingerprint reader and creates a data representation De lagrer altså (angivelig) ikke hele fingeravtrykket som et bilde. Men jeg finner det rimelig sannsynlig at å "reverse engineer" denne presentasjonen tilbake til det opprinnelige bildet med fingeravtrykket ditt, det vil være en overkommelig oppgave, ja rent av sannsynlig være automatisert av NSA med flere. I motsetning til passord, vil du ha problemer med å bytte fingeravtrykk, når det først har blitt kompromittert Det er akkurat samme utfordringen vi har med pass. Løsningen med biometri på pass skulle aldri ha vært innført, av nevnte årsak. Endret 13. mai 2019 av seventhwave 2 Lenke til kommentar
siven79 Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Det hadde vært enda greiere at man låste opp bare ved å putte fingrene på tastaturet. Avlesing av alle fingre og i tillegg maskinlæring av hvordan en bruker tastaturet. Muligheten til å bruke måten man taster på som ett sikkerhetsnett i seg selv. En ide til en driftig progger der ute? Lenke til kommentar
seventhwave Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Ikke nok med at NSA samler inn fingeravtrykksdatabase og ansiktsdatabase via Android altså. Nå skal også Microsoft samle det inn for NSA.Biometrisk data, som fingeravtrykk, forlater aldri PC-en. Biometri lagres i TPM chip i PC og benyttes for å låse opp en privat nøkkel som benyttes i forbindelse med autentisering av brukeren (FIDO benytter en privat-public challenge-respons prosess akkurat som PKI). Foreslår at du leser deg opp på hvordan ting fungerer før du kommer med slike tåpelige påstander. Det jeg leser meg til er at akkurat som som alle andre implementasjoner av Public-Private Keys, så vil kompromittering av Private key gjøre hele løsningen ekstremt sårbar. En telefon/PC vil mao bli mer og mer attraktiv, dess flere slike keypairs som lagres på enheten. Ut i fra beskrivelen på https://fidoalliance.org/how-fido-works/ virker det som det opprettes et private/public key pair, pr nettsted man registrer seg hos. Men, og her kommer det: "The client’s private keys can be used only after they are unlocked locally on the device by the user. The local unlock is accomplished by a user–friendly and secure action such as swiping a finger, entering a PIN, speaking into a microphone, inserting a second–factor device or pressing a button." Denne "user friendly action", kan jeg ikke lese på annen måte enn at fingeravtrykket lagres permanent på den aktuelle enheten. Og ditt utsagn: "Biometri lagres i TPM chip" gir meg ikke et snev av sjelero, Å ikke tro at NSA både har verkøy for reverse-engineer og/eller bakdør for tilgang til innholdet på denne, oppfatter jeg som ekstremt naivt. Lenke til kommentar
Håvard Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Å være naiv er en del av den norske folkesjela, men her er vi over på den internasjonale arena. Akkurat som du trolig kan legge fra deg lommeboken din på disken på et serveringssted på ei sæter i Norge og ha visshet om at den fremdeles ligger der også etter et kortere toalettbesøk Men du bør endre mentalitet så snart du reiser til det store store utland, som f.eks. Barcelona m.m. > face or iris sensor or fingerprint reader and creates a data representation De lagrer altså (angivelig) ikke hele fingeravtrykket som et bilde. Men jeg finner det rimelig sannsynlig at å "reverse engineer" denne presentasjonen tilbake til det opprinnelige bildet med fingeravtrykket ditt, det vil være en overkommelig oppgave, ja rent av sannsynlig være automatisert av NSA med flere. I motsetning til passord, vil du ha problemer med å bytte fingeravtrykk, når det først har blitt kompromittert Det er akkurat samme utfordringen vi har med pass. Løsningen med biometri på pass skulle aldri ha vært innført, av nevnte årsak. Selvom jeg velger å tro på at Microsoft ikke sender identifiserbar informasjon videre, er jeg ganske klar over at det er dumt å legge igjen lommeboken ute Måten de lagre biometri på i Android og iOS er at de genererer en enveishash av informasjonen, på samme måte som det blir generert en hash av passordet ditt før det lagres hos f.eks diskusjon.no. Disse er i utgangspunktet ikke-reversjerbare. Lenke til kommentar
seventhwave Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Selvom jeg velger å tro på at Microsoft ikke sender identifiserbar informasjon videre, er jeg ganske klar over at det er dumt å legge igjen lommeboken ute Måten de lagre biometri på i Android og iOS er at de genererer en enveishash av informasjonen, på samme måte som det blir generert en hash av passordet ditt før det lagres hos f.eks diskusjon.no. Disse er i utgangspunktet ikke-reversjerbare. MD5 er ett eksempel på en slik enveis-hash, som du beskriver. Problemet med den, er at det nå omsider er konsensus at denne er mulig å reversere. Blir et passord kompromittert, eller rettere sagt hash'en, stå rdu overfor to valg: A) Bytte passord (ingen langtidsløsning, siden algoritmen er knekt) eller B) Bytte hash-algoritme Alt A er i det minste trivielt så lenge du kan bytte passord. Langt vanskeligere er det å endre din personlige biometri. Alt B er trivielt så lenge det er i software. Men jeg har en forestilling om at disse hash-algoritmene er implementert i hardware på telefon og PC (i eksemplene omtalt i artikkelen) Og da er det ikke lenger en liten softwarefix for å legge inn støtte for nye algortimer. Dette er for så vidt den sammen problemstillingen som videocodecs implementert i hardware. Nye codecs fordrer ny hardware. Lenke til kommentar
Per Buer Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Det er mye verre enn du aner. Hver gang du tar i et glass eller en gaffel eller en hvilken som helst annen gjenstand så legger du igjen et fingeravtrykk som er lesbart med helt enkle midler. Det er helt uutholdelig. Noen burde gjøre noe. 1 Lenke til kommentar
Sandormen Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Det er mye verre enn du aner. Hver gang du tar i et glass eller en gaffel eller en hvilken som helst annen gjenstand så legger du igjen et fingeravtrykk som er lesbart med helt enkle midler. Det er helt uutholdelig. Noen burde gjøre noe. Touchscreen, noen? ? Lenke til kommentar
seventhwave Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 (endret) Det er mye verre enn du aner. Hver gang du tar i et glass eller en gaffel eller en hvilken som helst annen gjenstand så legger du igjen et fingeravtrykk som er lesbart med helt enkle midler. Det er helt uutholdelig. Noen burde gjøre noe. Ja, vi bør gå i fakkeltog alle mann! Og for øvrig, her bekrefter du altså min største frykt !? At de som fremsto som dresskledde servitører sist gang vi to var på en bedre restaurant, og sirlig (med hvite hansker) samlet inn alle glassene etter at vi var ferdig med måltidet, faktisk var noe helt annet ?! Ikke bare det, det var de samme personene som også tok betalt, og nå til alt overmål sitter på både våre avtrykk og personlig kort-info? ;-) Fleip til side, synes du bruk av biometri er en god løsning for identifisering på individnivå? Gir det noen reell forbedring? Og at du overhodet ikke ser noen betenkeligheter mtp formålsutglidning, når noen få store aktører/datasiloer sitter på alle disse dataene? Endret 13. mai 2019 av seventhwave Lenke til kommentar
seventhwave Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Touchscreen, noen? Du bruker vel bare knokene, og ikke fingertuppene, gjør du vel ? ;-) Lenke til kommentar
Sandormen Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Du bruker vel bare knokene, og ikke fingertuppene, gjør du vel ? ;-) Joda, fingertupper, men i forhold til noen av kundene som dukker opp, har jeg en tendens til å tørke av tastaur, touchpad og skjerm med jevne mellomrom. Hater nemlig fettflekker, men er rimelig sikker på etter en ukes bruk uten renhold, at jeg kunne løfte brukandes fingeravtrykk med litt talkum og teip. Derfra er ikke veien lang til en kunstig finger... ? Lenke til kommentar
Beernuts Skrevet 13. mai 2019 Del Skrevet 13. mai 2019 Å ikke tro at NSA både har verkøy for reverse-engineer og/eller bakdør for tilgang til innholdet på denne, oppfatter jeg som ekstremt naivt. Er du bekymret for at NSA interesserer seg for ditt digitale liv, er jeg sjeleglad for at de faktisk gjør det.. 2 Lenke til kommentar
seventhwave Skrevet 14. mai 2019 Del Skrevet 14. mai 2019 > NSA interesserer seg for ditt digitale liv. Jepp, og jeg er i godt selskap her. NSA har interesse for, la oss grovt estimere... USAs 329.093.110 innbyggere, Europas 743.041.453 (- 1?), og gud vet hvor mange i resten av verden...? Jeg har ikke telling. Det har helt sikkert NSA ;-) Lenke til kommentar
nagina Skrevet 14. mai 2019 Del Skrevet 14. mai 2019 Bruker dette på bærbar PC, Windows Hello ansiktgjenkjenning, og telefon sync med laptop, mister den bluetooth kontakt med maskinen så låses det, alt funker bare helt fett. Nei jeg er ikke så paranoid som enkelte her. Lenke til kommentar
sk0yern Skrevet 14. mai 2019 Del Skrevet 14. mai 2019 MD5 er ett eksempel på en slik enveis-hash, som du beskriver. Problemet med den, er at det nå omsider er konsensus at denne er mulig å reversere. Blir et passord kompromittert, eller rettere sagt hash'en, stå rdu overfor to valg: A) Bytte passord (ingen langtidsløsning, siden algoritmen er knekt) eller B) Bytte hash-algoritme Du har rett i at MD5 ikke lenger er sikker. Men den er ikke mulig å reversere. Dette er md5sum til debian-9.9.0-amd64-netinst.iso: e494e78d531352f0f3fdb210f13f7577 Filen er på 292MB, og det er åpenbart at man fra md5sum ikke klarer å generere innholdet i iso-filen ut fra den. Det man imidlertid klarer, er å lage en ny iso-fil, med forskjellig innhold, men som har samme md5sum. Lenke til kommentar
Sandormen Skrevet 14. mai 2019 Del Skrevet 14. mai 2019 Bruker dette på bærbar PC, Windows Hello ansiktgjenkjenning, og telefon sync med laptop, mister den bluetooth kontakt med maskinen så låses det, alt funker bare helt fett. Nei jeg er ikke så paranoid som enkelte her. Tror ikke vi snakker egentlig paranoia her, men mer interessen av å diskutere mulige sikkerhets svakheter, eventuelle komplikasjoner og andre ennå ikke oppdagede baksider med nye sikkerhetsmetoder. -Noen har interesse for sånt, andre foretrekker å se film eller være kreativ i photoshop. Jeg foretrekker datasikkerhet og elsker å abstrahere litt fra ‘Hva er’ til ‘Hva kan skje’. Å bare sette i gang og bruke uten å sette seg inn i detaljer er fryktelig ignorant om man vil bli bedre innen IT. Uten diskusjon kommer det heller ikke nye ideer fram. Jeg er mer bekymret ang. FIDO2 og TPM, om det kokes opp en eller annen ‘dum’ løsning som gjør det umulig å fikse kunders PC’er (og min egen for den saks skyld). F.eks: Sånn det er i dag kan jeg redde innholdet på de fleste lagringsmedium, men om fremtidens lagringsmedium blir loddet fast på et bunnkort som chips, med FIDO2/TPM, ja, da kan folk begynne å se langt etter familiebildene sine. 1 Lenke til kommentar
seventhwave Skrevet 14. mai 2019 Del Skrevet 14. mai 2019 Du har rett i at MD5 ikke lenger er sikker. Men den er ikke mulig å reversere. Dette er md5sum til debian-9.9.0-amd64-netinst.iso: e494e78d531352f0f3fdb210f13f7577 Filen er på 292MB, og det er åpenbart at man fra md5sum ikke klarer å generere innholdet i iso-filen ut fra den. Det man imidlertid klarer, er å lage en ny iso-fil, med forskjellig innhold, men som har samme md5sum. Takk for informativ oppdatering, og du har helt rett. Jeg er i hovedsak kjent med MD5 fra routere, hvor det blir benyttet til kryptering av VPN-forbindelser. I disse tilfellene blir det ikke lenger anbefalt bruk av MD5, fordi det er lagd et stort antall tabeller hvor man kan slå opp MD5-hashen for å finne det opprinnelige passordet (Shared Key). Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå